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Verfahren zum Obertragen von Software- Modulen 

Die Erfindung betrifft eine Verfahren zum Obertragen 
von Software-Modulen von einer Zentrale zu einer mobi- 
len Vorrichtung, insbesondere zu einem Verkehrs- oder 
Transportmittel. Fur die Obertragung wird eine Einrich- 
tung zur drahtlosen Datenubertragung in beiden Richtun- 
gen verwendet, und eine Menge von Software-Modulen 
wird ausgewahlt. Die aktuelle Konfigu ration der mobilen 
Vorrichtung wird an die Zentrale ubermittelt. Gepruft 
wird, welche dieser Software-Module fur die aktuelle 
Konfiguration freigegeben sind. Die ausgewahlten und 
fur die aktuelle Konfiguration f reigegebenen Software- 
Module werden ubertragen. Vorzugsweise werden fur die 
Ziel-Gerate Gerate-Typ-Kennungen und fur die Software- 
Module Software-Typ-Kennungen in Freigabe-Festlegun- 
gen verwendet. Diese Freigabe-Festlegungen werden bei 
einer Freigabe-Prufung verwendet. Das Verfahren ist in 
gleicher Weise fur die Versorgung einer einzelnen mobi- 
len Vorrichtung wie auch fur Familien von variantenrei- 
chen oder variantenarmen mobilen Vorrichtungen an- 
wendbar. 
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Beschreibung 

[0001] Die Erfindung betrifft ein Verfahren zum Ubertragen von Software-Modulen von einer Zentrale zu einer mobi- 
len Vorrichtung, vorzugsweise zu einem Verkehrs- oder Transportmittel, mit Hilfe einer Einrichtung zur drahtlosen Da- 

5 tenubertragung in beide Richtungen. 

[0002] In mobilen Vorrichtungen, insbesondere in Kraftfahrzeugen, wird eine steigende Anzahl von Geraten verwen- 
det, die durch Software-Module gesteuert werden, z. B. Tur-Steuergerate. Manche Gerate, z. B. elektronische Navigati- 
onssysteme und Svsteme zur Sprachausgabe, benotigen urnfangreiche Datenbibliotheken. Um mobile Vorrichtungen an 
individuelle Anforderungen und Wunsche von Benutzern oder Betreibem anzupassen, werden oft Ziel-Gerate in vielen 

to unterschiedlichen Versionen und Varianten hergestellt und eingebaut, manchmal auch nachtraglich. Durch die Kombina- 
tion von Varianten entsteht eine hohe Zahl unterschiedhcher Konfigurationen von Ziel-Geraten an Bord von mobilen 
Vorrichtungen, die zu einer Familie von mobilen Vorrichtungen gehoren. Der Hersteller einer mobilen Vorrichtung hat 
trotz der Van antenviel fait zu gewahrleisten, daB diese Ziel-Gerate in jeder freigegebenen Kombination im laufenden Be- 
trieb sicher zusammenspielen. 

15 [0003] Mit "Software-Module" werden insbesondere Programme oder Teile von Programmen, die an Bord von mobi- 
len Vorrichtungen ausgefuhrt werden, und Daten fur solche Programme oder fur Ziel-Gerate sowie Parameter von Ziel- 
Geraten bezeichnet. Mit "Ziel-Geraten" werden diejenigen daten verarbeitenden Gerate an Bord einer mobilen Vorrich- 
tung bezeichnet, fur die Software-Module zu ubertragen sind, hierzu zahlen insbesondere Steuergerate z. B. fur Turen 
oder die Klimaanlage. Ein zu iibertragender Parameter beeinfluBt beispielsweise die Funktionsweise eines Ziel-Gerats 

20 oder aktiviert oder deaktiviert ein Programm an Bord der mobilen Vorrichtung. 

[0004] Es ist heute noch ublich, zum nachtraglichen IJbertragen von Software-Modulen in mobile Vorrichtungen die 
Ziel-Gerate z. B. in einer Werkstatt auszubauen, mit den gewiinschten Software-Modulen zu versehen und dann wieder 
einzubauen. In manchen Fallen muB das Ziel-Gerat sogar zum Hersteller geschickt werden, der zentral die Software-Mo- 
dule ubertragt. Diese Wege sind teuer und zeitaufwendig. 

25 [0005] Aus DE 197 50 372 Al ist ein Verfahren zum Ubertragen von Programmen und/oder Daten von einem zentra- 
len Server an ein Fahrzeug bekannt. Die Ubertragung erfolgt per Funkverbindung. Fahrzeug und Server haben je ein 
Scndc- und Empfangsgcrat. Die Zugriffsbcrcchtigung des Bcnutzcrs wird gepriift, hierzu werden Daten vom Fahrzeug 
an die Zentrale gemeldet 

[0006] In DE 198 53 000 Al wird ein Verfahren zum Versorgen von Kraftfahrzeugen mit Daten sowie zum Austausch, 
30 Abfragen, Andem, Aktualisieren von Daten offenbart. Verwendet wird eine drahtlose Datenubertragungseinnchtung. 
Die Daten sind vorzugsweise Uberwachungsdaten, z. B. Betriebsdaten von Bremsen, Fahrwerk, Olstand, oder Pro- 
gramme oder Programmteile. 

[0007] Aus DE 195 32 067 CI ist ein Verfahren zum Einprogrammieren von Daten in ein Fahrzeug-Bauteil bekannt. 
Daten werden von einer Zentrale an die anfordernde Stelle ubertragen. Insbesondere um unberechtigten Zugriff auf die 
35 ubertragenen Daten zuverlassig zu unterbinden, werden Informationen zur Identitat von Fahrzeug, Bauteil und Nutzer an 
die Zentrale ubermittelt. 

[0008] Aus DE 199 21 845 Al ist eine Diagnosetestvorrichtung fiir Kraftfahrzeuge mit programmierbaren Steuergera- 
ten bekannt. Ein externer Diagnosetester ist mit einer Programmerkennungs- und Programmladevorrichtung ausgestat- 
tet. Bei Bedarf wird die jeweils aktuellste Version eines Programms in den Programmspeicher des entsprechenden Steu- 
40 ergerats geladen. 

[0009] Die oben genannten Druckschriften offenbaren Verfahren, um Software-Module an eine mobile Vorrichtung zu 
ubermitteln und dabei bei Bedarf Berechtigungs- und Freigabepriifungen durchzufuhren. Die Priifungen beziehen sich 
jeweils auf eine einzelne mobile Vorrichtung. Jedoch wird bei den Verfahren nicht die Moglichkeit berucksichtigt, daB 
Software-Module an variantenreiche mobile Vorrichtungen zu ubertragen sind. Der Variantenreichtum wird auch nicht 

45 dadurch berucksichtigt, daB - wie in DE 198 53 000 Al - Uberwachungsdaten vom Fahrzeug an die Zentrale ubermittelt 
werden. Der Variantenreichtum resultiert beispielsweise daher, daB in verschiedenen Exemplaren einer Familie von mo- 
bilen Vorrichtungen, z. B. einer Fahrzeugflotte, unterschiedliche Ziel-Gerate eingebaut sind oder daB Ziel-Gerate in un- 
terschiedlichen Versionen und Varianten verwendet werden oder verschiedene Software-Module aktiviert worden sind. 
Der Variantenreichtum kann zu einer riesigen Zahl unterschiedhcher Priifungen fuhren, die nicht mit vertretbarem Auf- 

50 wand definiert und validiert werden konnen. Weiterhin wird nicht die Moglichkeit berucksichtigt, daB ein Benutzer oder 
Betreiber einer mobilen Vorrichtung ein Ziel-Gerat erneuert oder nachtraglich erganzt, ohne daB der Hersteller der mo- 
bilen Vorrichtung hieruber informiert wird und dies bei einer Freigabe-Pru rung nach dem Stand der Technik berucksich- 
tigen kann. Auch beim Verfahren nach DE 195 32 067 CI, bei dem Informationen uber die Fahrzeug-Identitat an die 
Zentrale ubermittelt werden, werden nachtragliche Anderungen nicht berucksichtigt. Zwar kann die Zentrale sich eine 

55 abgespeicherte Konfigurations-Datei des Fahrzeugs beschaffen, diese Informationen konnen aber falsch oder veraltet 
sein. 

[0010] Variantenreichtum und nachtragliche Anderungen sind aber zu beriicksichtigen, um sicherzustellen, daB zu je- 
der mobilen Vorrichtung die richtigen Software-Module ubertragen werden und sichergestellt wird, daB die ubertragenen 
Software-Module auf dem Fahrzeug fehlerfrei miteinander und mit den Ziel-Geraten an Bord zusammenspielen und 

60 nicht zu unerwunschten oder fehlerhaften Betriebszustanden fuhren. 

[0011] Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren der eingangs beschriebenen Art zu schaffen, das die 
beschriebenen Nachteile vermeidet. Insbesondere soli gewahrleistet werden, daB bei variantenreichen Familien von mo- 
bilen Vorrichtungen nut Ziel-Geraten verschiedener Hersteller oder bei nachtraglichen Anderungen an einzelnen mobi- 
len Vorrichtungen nur die richtigen und keine anderen Software-Module ubertragen werden. Weiterhin ist eine Vorrich- 

65 tung zur Durchfuhrung des Verfahrens zu schaffen. 

[0012] Die Aufgabe wird durch ein Verfahren nach Anspruch 1 und durch eine Vorrichtung nach Anspruch 12 gelost. 
Vorteilhafte Ausgestaltungen werden durch die Unteranspruche beschrieben. 

[0013] Fur die t Jbertragung wird eine Einrichtung zur drahtlosen Datenubertragung in beiden Richtungen verwendet, 
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und eine Menge von Software-ModuLen wird ausgewahlt. Diese Menge besteht aus mehreren Software-Modulen oder 
aus nur einem einzigen Software-Modul. Informationen uber die aktuelle Konfiguration der mobilen \brrichtung werden 
an die Zentrale ubermittelt. Diese Informationen umfassen eine Aufhstung, welche Ziel-Gerate und welche Software- 
Module vor Beginn der Ubertragung an Bord der mobilen Vorrichtung tatsachlich vorhanden sind. Gepruft wird, welche 
dieser Software-Module fur die aktuelle Konfiguration freigegeben sind. Die ausgewahlten und fur die aktuelle Konfigu- 
ration freigegebenen Software-Module werden ubertragen. 

[0014] Vorzugsweise werden fur eine Freigabe-Priifung Freigabe-Fesdegungen verwendet, die wie folgt erzeugt wer- 
den (Anspruch 2): Fur die Ziel-Gerate werden Gerate-Typ-Kennungen festgelegt, also Kennungen fur die Typen von 
Ziel-Geraten. Fur die Software-Module werden Software-Typ-Kennungen festgelegt. Unter Verwendung der Gerate- 
Typ-Kennungen und Software-Typ-Kennungen wird festgelegt, welche der ausgewahlten Software-Module fur welche 
Typen von Ziel-Geraten freigegeben sind. 

[0015] Diese Freigabe-Fesdegungen werden bei der Freigabe-Priifung verwendet. 

[0016] Das Verfahren istin gleicher Weise fur die Versorgung einer einzelnen mobilen Vorrichtung wie auch furFami- 
lien von variantenreichen oder variantenarrnen mobilen Vorrichtungen anwendbar. Insbesondere werden auch dann zu- 
verlassig die richtigen und keine anderen Software-Module ausgewahlt und ubertragen, wenn in der mobilen Vorrichtung 
mehrere Ziel-Gerate unterschiedlicher Hersteller vorhanden sind und diese Ziel-Gerate in unterschiedlichen \fersionen 
und Varianten vorkommen, die unterschiedliche Software-Module benotigen. 

[0017] Die richtigen Software-Module werden auch dann ausgewahlt und ubertragen, wenn ein Benutzer oder Betrei- 
ber der mobilen Vorrichtung ein Ziel-Gerat durch ein andersartiges ersetzt hat oder nachtraglich ein weiteres Ziel-Gerat 
erganzt hat. Dies wird insbesondere dadurch erreicht, daB ermittelt wird, welche Ziel-Gerate und Software-Module sich 
zum Zeitpunkt der t Jbertragung tatsachlich in der mobilen Vorrichtung befinden. Nicht mehr erforderlich ist es, eine Ab- 
frage in einer zentralen Datenbank mit Konfigurationen von mobilen Vorrichtungen durchzufuhren. Die Eintrage in einer 
solchen zentralen Datenbank konnen veraltet sein, z. B. weil ein Ziel-Gerat durch ein andersartiges ersetzt wurde oder 
ein Ziel-Gerat erganzt oder entfernt wurde, ohne daB der Hersteller hieruber informiert wurde. 

[0018] Dank der Verwendung einer drahtlosen Dateniibertragungseinrichtung ist es nicht erforderlich, daB die mobile 
Vorrichtung zum Ubertragen in eine Werkstatte gefahren oder Lransportiert wird. Es ist moglich, ein Software-Modul be- 
rcits unmittclbar nach seiner Fcrtigstcllung und/odcr Frcigabc zu ubertragen. 

[0019] Einige beispielhafte Anwendungen, in denen das erflndungsgemaBe Verfahren Vorteile gegeniiber dem Stand 
der Technik erbringt, sind die folgenden: 

- Auf Initiative des Kundendienstes eines Fahrzeugherstellers wird eine Kundendienstmafinahme fur alle Fahr- 
zeuge eines TVps durchgefuhrt. Beispieisweise wird fur alle Fahrzeuge einer Baureihe und eines Baujahrs eine neue 
Version eines Software-Moduls ubertragen. Oder eine gesetzliche Bestimmung in einem Staat wird geandert, und 
Software-Module werden an Fahrzeuge in diesem Staat ubertragen, urn den geanderten Gesetzen nachzukomnien. 
Besitzer und Nutzer der mobilen Vorrichtung werden informiert, und die Software-Module werden bei Einverstand- 
nis erfindungsgemaB ubertragen. Durch das erflndungsgemaBe Verfahren ist es nicht erforderlich, daB ein Fahrzeug 
des Typs in eine Werkstatt gebracht wird, und es wird sichergestellt, daB die neue Version des Software-Moduls nur 
auf diejenigen Fahrzeuge iibertagen wird, fur deren Konfigurationen sie freigegeben ist. 

- Fur einen bestimmten Fahrzeugtyp sollen umfangreiche Betriebsdaten an Bord aufgezeichnet, vorverarbeitet und 
an eine Zentrale ubermittelt werden. Ein Programm, das die Aufzeichnung, Vorverarbeitung und Ubermittlung 
iibernimmt und dabei die Daten gegen unbefugten Zugriff sichert, wird durch das erflndungsgemaBe Verfahren 
ubertragen, nachdem der Eigen turner hierzu sein Ein vers tandnis gegeben hat. Durch die Kenntnis der aktuellen 
Konfiguration wird sichergestellt, daB das ubertragene Programm auf die tatsachlich an Bord vorhandenen Gerate 
zugeschnitten ist. 

- Ein Besitzer einer mobilen Vorrichtung kauft vom Hersteller der mobilen Vorrichtung eine zusatzliche oder ver- 
besserte Funktionalitat, die ausschlieBlich durch zusatzliche Software-Module auf bereits eingebauten Ziel-Geraten 
realisiert wird. Durch das Verfahren wird es ermoglicht, daB die Software-Module ohne einen Werkstattbesuch 
ubertragen werden, wenn eine drahtlose Verbindung hergestellt werden kann. Sichergestellt wird, daB die Software- 
Module fur die mobile Vorrichtung freigegeben sind. 

- Ein Ziel-Gerat an Bord eines Fahrzeugs ist ausgefallen, und das Fahrzeug kann seine Fahrt nicht fortsetzen. Ein 
Wartungstechniker fahrt mit einem neuen Ziel-Gerat zum Fahrzeug. Das neue Gerat ist hinsichtlich der Hardware 
baugleich oder wenigstens funktionsgleich zum ausgefallenen Gerat Jedoch sind keine Software-Module in ihm ab- 
gespeichert. Die benotigten Software-Module werden durch das erflndungsgemaBe Verfahren ubertragen. Dadurch 
ist es nicht erforderlich, daB der Wartungstechniker die Software-Module sowie eine Einrichtung zur Konfigurati- 
ons-Ermittlung und Freigabe-Priifung mit sich fuhrt. Da der Wartungstechniker fur eine Flotte von unterschiedli- 
chen Fahrzeugen mit verschiedenen Geraten an Bord verantwortlich ist, ist es wegen der Variantenvielfalt nicht 
moglich, daB er alle Software-Module mit sich fuhrt, die beim Ausfall eines Ziel-Gerats an Bord eines der Fahr- 
zeuge benotigt werden. Das erflndungsgemaBe Verfahren spart erheblich Zeit gegeniiber dem Vorgehen ein, daB der 
Wartungstechniker erst nach einem Ausfall eines Gerats ermittelt, welche Software-Module fur das neue Gerat be- 
notigt werden, und diese Software-Module dann von einer Zentrale beschafft 

[0020] Dank der Ausgestaltung nach Anspruch 3 kann das erflndungsgemaBe Verfahren auch dann durchgefuhrt wer- 
den, wenn die aktuelle Konfiguration nicht komplett an die Zentrale ubermittelt werden kann und daher benotigte Infor- 
mationen fehlen, beispieisweise weil nicht alle Informationen liber die aktuelle Konfiguration an Bord abgespeichert 
worden sind oder weil die Datenverbindung von der mobilen \brrichtung zur Zentrale gestort ist Hingegen haben die- 
jenigen Informationen iiber die aktuelle Konfiguration, die an die Zentrale ubermittelt wurden und nicht unzutreffend 
sind, Vorrang vor den abgespeicherten Konfigurations-Informationen. 

[0021] GemaB der Ausgestaltung nach Anspruch 3 werden Informationen tiber eine der Zentrale bekannten Konfigu- 
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ration der mobilen Vorrichtung in einem Konfigurations-Management-System ^^^SSS ttr Fet 
chert. Beispielsweise umfaBt das System eine Datenbank, in der em Datensatz fur die £mU- 
SsteUung angelegt wird. Wahrend der Ubertragung wird eine Kennung der mobilen Vornchtung nrZntata ^rmn 

mmm 

SS^ES* 4 siebt vor, da* vor der Ubertragung der Software-Module gepriift wird nutffij der drahdosen 
reTchende ianooS besitz, Bevorzugt werden die Software-Module vor der Ubertragung kompnrtuert und nach der 

MoSute Sert an die Zenlrale ubermitlell. Beispielsweise werden von einer arrfordernden Person eme HN em PaB 

fSTw^SSid an Bord der mobilen Vorrichtung fur mindestens einen Ziel-Gerate-Typ ein offentlicher 
sef aSes^rl MTriiu^ 

funs wird das Software-Modul als nicht verfalscht und als berechtigt erkannt. . .. ZemraJe 

r00261 Die Menge von Software-Modulen wird beispielsweise wie folgt ausgewahlt (Anspruch 7). Die an Ae/MHB 

£E£EL-d«- wird entschieden, ob die mobile Vorrichtung sich = *»£* 
auftraten, wird bevorzugt zusatzlich eine Fehlerbeschreibung an die Zentrale ubermittelt. 
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[0030] Durch die erfolgreiche Ubertragung von Software-Modulen wird die aktuelle Konfiguralion der mobilen \for- 
richtung verandert. Insbesondere urn gesetzlichen Auflagen nach einer Produktdokumentation nachzukommen, wird ge- 
mafi Anspruch 11 eine Ruckdoku mentation durchgefuhrt. Hierfur wird die Kennung der mobilen Vorrichtung zur Zen- 
trale iibermittelt. Diese Kennung unterscheidet diese mobile Vorrichtung wenigstens von alien anderen mobilen Vorrich- 
tungen desselben Herstellers. In einem Konfigurations-Management- System wird die Information abgespeichert, welche 
Ziel-Gerate-Typen und welche Software-Module nach AbschluB der Ubertragung an Bord der mobilen Vorrichtung tat- 
sachlich vorhanden sind. Inforrnationen fiber die Ziel-Gerate-Typen wurden erfindungsgemaB bereits fur die Freigabe- 
Prufungen an die Zentrale ubermittelt 

L0031J Die Information, welche Software-Module fehlerfrei und unverralscht ubertragen wurden, wird auch fur eine 
Synchronisation nach einem Fehlerfall, z. B. nach einem Verbindungsabbruch, verwendet. Ermittelt wird, welche Soft- 
ware-Module bei einem zweiten Versuch fur die Ubertragung vorgesehen werden. 

[0032] Eine Ubertragung s- Vorrichtung zur Durchfuhrung eines Verfahrens nach einem der Ansprfiche 1 bis 11 umfaBt 
gemaB Anspruch 12 eine Einrichtung zur drahf.losen Datenubertragung zwischen Zentrale und mobiler Vorrichtung in 
beiden Richtungen und eine Steuerungs-Einrichtung, welche die Uberrnittlung von Software-Modulen von der Zentrale 
zur mobilen Vorrichtung veranlaBt und steuert. Die Steuerungs-Einrichtung ermittelt die aktuelle Konfiguralion der mo- 
bilen Vorrichtung, wahlt die Menge von Software-Modulen aus, und priift, welche der ausgewahlten Software-Module 
fur die aktuelle Konfiguration freigegeben sind. Weiterhin veranlaBt die Steuerungs-Einrichtung die Ubertragung der 
ausgewahlten und freigegebenen Software-Module und ermittelt, welche Software-Module fehlerfrei an die mobile \br- 
richtung ubertragen wurden. 

[0033] Bevorzugt reagiert die Steuerungs-Einrichtung auf erkannte Ubertragungsfehler. Beispieisweise veranlaBt sie 
einen zweiten t'Jbertragungs- Versuch, fuhrt eine Fehlerbehandlung durch oder bricht die t'Jbertragung der Software-Mo- 
dule ab. 

[0034] Im folgenden wird ein Ausfuhrungsbeispiel des erfindungsgemaBen Verfahrens anhand der beiliegenden Zeich- 
nungen naher beschrieben. Dabei zeigen 

[0035] Fig. 1 eine beispielhafte Ausfuhrungsform der Erfindung, bei der die Software-Module von einer Zentrale mit 
Hilfe zweier verschiedener dmhtloser Datenubertragungseinrichtungen zur mobilen Vorrichtung ubertragen werden; 
[0036] Fig. 2 cine beispielhafte Systcmarchitcktur fur Zentrale und mobile Vorrichtung. 

[0037] Im Bei spiel der Fig. 1 wird wenigstens zeitweise eine Datenverbindung zwischen der Zen trale 10 und dem er- 
sten Fahrzeug 20.1 und eine weitere Datenverbindung zwischen der Zentrale 10 und dem zweiten Fahrzeug 20.2 herge- 
stellt. Die drahtlosen Datenverbindungen konnen auf die gleiche oder auf un terse hiedliche Weisen hergestellt werden. 
Als zwei Beispiele sind in Fig. 1 die drahtiose Ubertragung mit Hilfe eines Satelliten 50.1 und die uber ein Mobilfunk- 
netz 50.2 dargestellt. Die Software-Module werden z. B. uber ein Weitverkehrsnetz oder ein lokales Netz ubertragen. Die 
Zentrale kann sich an einem einzigen Ort befinden oder raumlich verteilt sein. Insbesondere falls ein Fahrzeug 20.1 oder 
20.2 sich wahrend der Ubertragung bewegt, kann die ubertragende Zentrale sogar wahrend der Ubertragung wechseln. 
[0038] Bei der Ubertragung von Software-Modulen werden fur jedes der beiden Fahrzeuge 20.1 und 20.2 die folgen- 
den Verfahrensschritte ausgefuhrt: 

- Insbesondere dann, wenn der Fahrzeug-Hers teller die Software-Module nur dann ubermittelt, wenn der Eigentu- 
mer der Ubertragung der Software-Module zugestimrnt hat und/oder die Software-Module bezahlt hat, wird eine 
Berechtigungsprufung fur die anfordernde S telle durchgefuhrt. Hierfur wird beispieisweise ein Fingerabdruck einer 
anfofdemden Person ermittelt oder eine PIN oder ein PaBwort von einer anfordernden Stelle erfaBt und anschlie- 
Bend Fingerabdruck, PIN oder PaBwort an die Zentrale ubermittelt und bei einer Berechtigungsprufung ausgewer- 
tet. Nach erfolgreicher Berechtigungsprufung wird festgestellt, ob der Eigen turner der Ubertragung verbindlich zu- 
gestimrnt hat. Die folgenden Schritte werden nur dann durchgefuhrt, wenn eine Zustimmung vorliegt oder nicht er- 
forderlich ist 

- Eine eindeutige Kennung des Fahrzeugs, vorzugsweise eine Fahrzeug-Ident-Nummer, wird ermittelt und an die 
Zentrale ubermittelt. Diese Kennung unterscheidet das Fahrzeug von alien anderen Fahrzeugen dieses Herstellers. 
Zusatzlich werden die Baureihe, das Baumuster und das Baujahr und das Jahr der letzten Anderung ubermittelt. 
Diese Inforrnationen lassen sich zwar oft durch Lesezugriff auf ein zentrales Konfigurations-Management-System 
ermitteln. Werden sie aber vom Fahrzeug zur Zentrale ubermittelt, so wird ein oft zeitraubender Lesezugriff einge- 
spart 

- Die aktuelle Konfiguration des Fahrzeugs wird ermittelt und an die Zentrale ubermittelt. Hierbei wird ermittelt, 
welche Ziel-Gerate vor Beginn der Ubertragung an Bord des Fahrzeugs tatsachlich eingebaut sind und welche Soft- 
ware-Module vor Beginn der Ubertragung an Bord des Fahrzeugs tatsachlich aktiviert und/oder abgespeichert sind. 
Vorzugsweise werden Typ-Kennungen fur die aktuell eingebauten Gerate und bereits vorhandenen Software-Mo- 
dule, z. B. Sachnummern und Variantennummern, ubermittelt. Diese Ermittlung wird bevorzugt dadurch ausge- 
fuhrt, da6 in jedem Ziel-Gerat ein Speicher vorhanden ist, in dem die Konfigurations-Informationen uber dieses 
Ziel-Gerat abgespeichert sind und der z. B. fiber einen Datenbus angesprochen und ausgelesen wircL Alternative 
Ausfuhrungsformen bestehen daraus, einen zentralen Speicher an Bord des Fahrzeugs oder Speicherchips, die an 
den Ziel-Geraten angehracht sind, auszulesen. Tnsbesondere dann, wenn ein Speicher in einem Ziel-Gerat aufgrund 
eines Defekts nicht ausgelesen werden kann oder wenn der Speicher eines neuen Ziel-Gerats noch nicht gefuilt ist, 
besteht ein Notbehelf darin, Markierungen an Geraten, z. B. Strichcodes, optisch zu erfassen. 

- Bei Bedarf werden die Inforrnationen fiber die aktuelle Konfiguration mit einem Datensatz fiber die Konfigura- 
tion des Fahrzeugs verglichen, der in einem Konfigurations-Management-System abgespeichert ist. Dies wird bei- 
spieisweise dann durchgefuhrt, wenn die ubermittelten Inforrnationen uber die aktuelle Konfiguration luckenhaft 
oder erkennbar fehlerhaft sind. Zur Erkennung von derartigen Fehlem wird bevorzugt eine Plausibilitatsprufung der 
vom Fahrzeug ubermittelten und der abgespeicherten Inforrnationen fiber die Konfiguration durchgefuhrt 

- Ausgewahlt wird eine Menge von Software-Modulen, die von der Zentrale zum Fahrzeug ubertragen werden. 
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Die Auswahl hangt von der aktuellen Konfiguration des Fahrzeugs, vom AnwendungsfaU und von der Kundenan- 

-Srdfejenigen Software-Module werden ubertragen, die fur die aktuelle Konfiguration des F f^f^^ 
ben sind. Fur jedes Software-Modul wird eine Freigabe-Priifung durchgefuhrt indem Fre.gabe-Mormationen aus- 
gewertet \verden. Vorzugsweise bestehen diese Freigabe-Informationen aus Typ-Kennungen fur Z,el-Gerate und 
foftwa^e-Module Eine Ausfuhrungsform wird weiter unten beschrieben. Mogliche Ergebn.sse der Fre,gab e -Pru- 
fonTs^d dTaUe e ntgeoder gar keines der ausgewahlten Software-Module als freigegeben erkannt werden 

4erp^ft wird, ob di! ausgewahlten Software-Module jetzt ubertragen werden konnen. Hierbei wird i ^tgesteUt, 
ob ntitSe der drahtlosen Datenubertmgungseinrichtung uberhaupt eine Verbindung ™^™.^™f*^ 
zeug vorhanden ist oder aufgebaut werden kann und ob der Ubertragungskanal eine fur die Ubertragung ausrei 
STS insbesondere eine ausreichende Bandbreite besitzt. Diese Cute kann von dem sende- und Empfangs- 
geS ^ an BoS des Fahrzeugs abhangen. Beispielsweise wird eine untere Sehranke fur die Bandbreite oder eine 
obere Sehranke fur den Zeitraum, den die Ubertragung in Anspruch nimmt, vorgegehen und nut. der tatsachheh ver- 
SidbSite verglichen. Aus der tatsachlich verfugbaren Bandbreite und der GesamtgroBe der ausgewahl- 
ten Software-Module wird bei Bedarf ein Wert fur den Zeitbedarf der Ubertragung vorhergesagt. 

Die^usgewSen und fur die aktuelle Konfiguration freigegebenen Software-Module werden 
daB die komprimierten Software-Module weniger Speicherplatz als die mcht kompnnuerten einnehmen. Bekannt 
sind verschiedene Verfahren zum Komprimieren von Daten. f , _ 

Die ausgewahlten und fur die aktuelle Konfiguration freigegebenen Software-Module *^T£T 
sun? konvlrtiert. Bei Bedarf werden die Software-Module in Telle aufgeteilt. Gememsam mjtjedem Software-Mo- 
dul oder Software-Modul-Teil werden Meta-Informationen ubertragen, die die Verteilung und Ubertragung der 
Softw^e-Module an Bord sowie deren Aktivierung steuem. Zu diesen Meta-InformaUonen zahlen Parameter, die 
das verwendete On-Board-Ubertragungsprotokoll benotigt. ^. , 

DleTusgewahlten und fiir die aktuelleKonfiguration freigegebenen Softwa^Module ^^^"^^ 
zum Fahrzeug ubertragen. Als Ubertragungstechnik wird beispielsweise em Mobilfunk -^S, 2 - B B °^f d ^ 
UMTS eingeselzt. Vorzugsweise wird ein zur gewahlten Ubertragungstechnik passendes Protokoll, z. B. das date 
basiei Protokoll zModem, verwendet. Dadureh wird insbesondere nach einem Abbruch der Vcrbindung eine si- 
chere Fehlerbehandlung mit Synchronisation erleichtert, die weiter unten beschrieben wird. 

Vorzugsweise werden die ubertragenen Software-Module an Bord des Fahrzeugs in einem Pufferspeicher abge- 

30 l^FestSsteUt wird, welehe Software-Module fehlerfrei ubertragen wurden. Diese Information wird an die Zentrale 

ubermfelt. Beispielsweise wird nach jeder erfolgreichen Ubertragung eines Software-Moduls eine ^^^mg 
an die Zentrale ubermittelt, oder nach erfolgreicher Ubertragung aller Software-Module wird diese In^Uon an 
Tie Zentrale ubermittelt. Fur die FeststeUung wird vorzugsweise fiir jedes Software-Modul oder jedes ^^o- 
dul-Teil eine Soll-Prufsumme nach dem CRC- Verfahren ermittelt und ubertragen. Nach der Ubertragung wird an 
Bord der mobilen Vorrichtung eine Ist-Priifsumme ermittelt und mit der Soll-Priifsumme verglichen 

VorSg"wSse werden Veihlusselungs-Informationen gemeinsam mit den Software-Modulen ubertragen urn 
zuprSo^meSoftware-ModuleauseinervertrauenswurdigenQueu^ 

den Beispielsweise wird ein Software-Modul in der Zentrale verschlusselt und an Bord der mobilen Vornchtung 
wl^nSltisselt En Verfahren hierfur ist aus DE 195 32 067 CI bekannt. Oder ein Software-Modul wird un- 
verthl^ mit einer Signatur ubertragen. Die Signatur wird mit Hilfe eines 8*^£"»- 

sekin der Zentrale erzeugt und mit einem offentlichen Schlussel verglichen, der beispielswe.se zuvor auf einem an- 

tT^ZX^lS^^^ fehlerhaf, verfalscht oder gar nicht ubertragen wurd.so 
wird ein zweiter Versuch der Ubertragung durchgefuhrt. Falls zwischen erstem und zweiten Versuch eine groBere 
SpLe verstrichen ist, wird erneut die aktuelle Konfiguration des F ahrzeugs ermittelt, denn k^n n der 
Zwischenzeit verandert worden sein. Scheitert auch der zweite Versuch, so wird die unten beschnebene Fehlerbe- 

-^trub«KmeUe^ 

ten umfassen beispielsweise die aktuelle Fahrgeschwindigkeit, den Motorzustand, den Uadezus^d del ^Battene 
und die aktuelle Position des Fahrzeugs. Aufgrund des Betriebszustands wird entschieden, ob die ubertragenen 
So^MoaulTe^ aktiviert werden. Dabei wird insbesondere gepriift, ob das Fahrzeug sxch in einem ^cheren 
Zustand befindet. Beispielsweise wird der Ladezustand der Batterie berucksichtigt, urn sicherzusteUen, daB wah- 
rend der gesamten Aktivierung geniigend elektrische Spannung zur Verfiigung steht. Die aktuelle Position wird bei- 
TpieltL 8 e auTgewertet, urn zu prufen, in welchem Land oder z. B. US-Bundesstaat sich das Fahrzeug befindet^ urn 
b P e Bedarf zu priifen, ob landerspezifische gesetzhche oder technische Randbedingungen zu better '^nAB" Be- 
darf wird der Fahrer des Fahrzeugs gebeten, das Fahrzeug in einen sicheren Zustand zu^ bnngen. z B « ' ™ z ?^_ 
und dies zu bestatigen. Dies wird z. B. durch Sprachausgabe und -eingabe oder dadureh durchgefuhrt, daB Meldun 
of»n an (receipt werden und der Fahrer gebeten wird, diese zu bestatigen. ...... 

- Fa"' SI are-Module fehlerfrei und unverfalscht ubertragen wurden oder der Pufferspe,cher yo.lstanchg 
gefiillt ist und falls das Fahrzeug sich in einem sicheren Zustand befindet, werden ^^enen Soft^-Mo- 
dule aus dem Pufferspeicher in die Ziel-Gerate ubertragen, vorzugsweise uber einen Datenbus an Bord des Fahr 
Sugs Bei Bedarf werden sie zuvor dekomprimiert. Fiir diesen Vorgang werden die Meta-InformaUonen ausge- 
wahlt.' Nach oer Ubertragung zu den Geraten werden die Cerate bei Bedarf deaktiviert, die Software-Module akti- 

65 viert und danach die Gerate wieder aktiviert. 

- In der Zentrale, z. B. in einem Konfigurations-Management-System, wird die aktueUe Konfiguration der mobilen 
Vorrichtung nach der Ubertragung abgespeichert Die aktueUe Konfiguration umfaBtdie MormaUonen, welche der 
zL-Cieratf an Bord tatsachUch eingebaut sind und welche Software-Module entweder fehlerfre! ubertragen und ak- 
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tiviert wurden oder bereits vor der Ubertragung aktiviert und durch die Ubertragung nicht verandert wurden. 

- Ein Konfigurations-Management-System in der Zentrale umfaBt einen Datensatz fur das Fahrzeug. Dieser Daten- 
satz wird nach der Ubertragung aktualisiert, so daB er nach der Aktualisierung Informationen dariiber enthalt, wel- 
che der Ziel-Gerate an Bord tatsachlich eingebaut sind und welche Software-Module nunmehr aktiviert sind. 

- Eine Fehlerbehandlung ist insbesondere dann erforderlich, wenn eine vorgegebene Anzahl von Versuchen Versu- 
che scheitern, alle Software-Module fehlerfrei zu ubertragen, beispielsweise weil keine Verbindung zwischen Zen- 
trale und Fahrzeug hergestellt werden kann. Bevorzugt wird bei einer Fehlerbehandlung eine Synchronisation 
durchgefuhrt. Hierbei wird festgestellt, welche Software-Module fehlerfrei ubertragen wurden. Der Datensatz fur 
das Fahrzeug im zentralen Konngurations-Management-System wird aktualisiert, und ein Fehlerprotokoll wird ge- 
neriert. Zu einem spateren Zeitpunkt wird ein erneuter Ubertragungsversuch begonnen, der von einern definierten 
Zu stand ausgeht. 

[0039] Fig. 2 zeigt. eine beispielhafte Syst.emarchitekt.ur fur die Zentrale 10 und das Fahrzeug 20. Die Zentrale 10 um- 
faBt die foigenden Komponenten: 

- ein Central Remote Flashing Manager 160, der die Ubemiittlung von Software-Modulen von der Zentrale zur 
mobilen Vorrichtung veranlaBt und steuert und dabei Software-Module auswahlt und priift, ob sie fur die aktuelle 
Konfiguration freigegeben sind, 

- ein Steuerungs- und Regelungs-Werkzeug 110, mit dem die erforderlichen MaBnahmen zum Ubertragen von 
Software-Modulen erfaBt und aufgelistet und veranlaBt werden und durch das die Durchfiihrung der MaBnahmen 
iiberwacht wird, 

- ein Logistiksystem 130, das die benotigten Software-Module identifiziert, auswahlt und fur die Ubertragung be- 
reitstellt, 

- ein Abrechnungs-System 140, das die Ubertragungsvorgange kaufmannisch abwickelt und dabei insbesondere 
die Rechnungslegung durchfuhrt und die Zahlungsvorgange iiberwacht, 

- ein Informationssysteiii 150, das den Eigentumer und/oder Fahrer des Fahrzeugs vor der Ubertragung Qber ange- 
botcnc und durch Software-Module rcalisicrbarc funktionalc Erwcitcrungcn und Andcrungcn durch Software-Mo- 
dule und nach der Ubertragung uber die erfolgreiche Ubertragung oder iiber aufgetretene Fehler informiert und das 
beispielsweise das Internet verwendet oder die Versendung von Briefen auslast, 

- ein Entscheidungsunterstutzungs-System 170, mit dessen Hilfe Software-Module in Abhangigkeit von der aktu- 
ellen Fahrzeug-Konfiguration und der durchzufuhrenden Kundendienst-MaBnahme ausgewahlt werden, 

- eine Sende- und Empfangseinrichtung 180 in der Zentrale und 

- eine Sende- und Empfangseinrichtung 190, die mit dem Fahrzeug verbunden ist. 

[0040] Die Sende- und Empfangseinrichtungen 180 und 190 sind beispielsweise als Knoten eines Mobilfunknetzes, 
das z. B. mit den Ubertragungsverfahren GSM oder UMTS arbeiten, oder fur eine Ubertragung mittels Satelliten ausge- 
bildet An Bord eines Fahrzeugs konnen mehrere Sende- und Empfangseinrichtungen 190 eingebaut sein. 
[0041] Im foigenden wird an einem Ausfuhrungsbeispiel beschrieben, wie die Freigabe-Priifung durchgefuhrt wird 
und welche Freigabe-Informationen hierfur ausgewertet werden. In dem Ausfuhrungsbeispiel werden zwei Ziel-Gerate 
an Bord eines Kraftfahrzeugs 20 rnit Software-Modulen versorgt: eine Zentraleinheit eines Systems zur Sprachausgabe, 
die z. B. Meldungen an den Fahrer in naturlicher Sprache vorliest, und ein Steuergerat fur das Tursystem. Die Zentral- 
einheit ist mit einem Sende- und Empfangsgerat fur drahtlose Dateniibertragung und iiber einen Datenbus mit dem Steu- 
ergerat verbunden. 

[0042] Die beiden Ziel-Gerate stammen von unterschiedlichen Herstellern und werden in verschiedenen Varianten in 
Fahrzeuge eingebaut. Die Sprachausgabe soli in mehreren Sprachen moglich sein. Die Software-Module fur alle Varian- 
ten der beiden Ziel-Gerate werden erzeugt und in der Zentrale abgespeichert. 

[0043] Der Typ eines Ziel-Gerats und der eines Software-Moduls werden durch jeweils eine Sachnummer und eine Va- 
riantennummer gekennzeichnet. Die Sachnummer ist eine Abfolge von ZifTem und Buchstaben, die innerhalb des Pro- 
duktspektrums des Fahrzeug- Herstellers eindeutig isL Die Variante wird durch eine Zahl mit drei Zififern gekennzeich- 
net. 

[0044] Die Freigabe-Informationen sind beispielsweise in einer relationalen Datenbank in Form von Datensatzen in 
der Zentrale abgespeichert. Fur eine Freigabe-Priifung wird diese Datenbank eingelesen und ausgewertet. Ein Prinzip ist, 
daB ein Software-Modul nur dann fur einen Typ von Ziel-Geraten freigegeben ist, wenn eine entsprechende Freigabe-In- 
formauon in der Freigabe-Datenbank vermerkt ist, ansonsten nicht. 
[0045] Jeder Freigabe-Datensatz umfaBt folgende Datenfelder: 

- Baureihe 

- Region 

- Ziel-Gerate-Typen 

- Zulieferer 

- Beschreibung_Hardware 

- Art_der_Software 

- Software-Module 

- Beschreibung_Software 

- gtiltig_ab 

- Voraussetzung 

[0046] Mit "Baureihe" ist die Baureihe des Fahrzeugs gemeint, auf das sich der Freigabe-Datensatz bezieht, z. B. 
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woio Tn den Datenfeldern "Ziel-Gerate-Typ" ™d "Software-Module" werden Cerate- bzw. Software-TVp-Kennungen 

aeattr- i wu i 'iiii, 1 ! ; u. j, wr*""^ . .. . . 

nummern und Variantennummern, sind in eckige Klammern gesetzt. 
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1. Datensatz 



■ 

Datenfeld 


Inhalt 


Baureihe 




Region 


EUR 


Ziel-Gerate-Typen 


[HW-1001-001] [HW-1001-002] 


Zulieferer 


XY 


Beschreibung Hardware 


Zentraleinheit fiir Europa 


Art der Software 


OS 


Software-Module 


[SW-101-001] 


Beschreibung Software 


Betriebssystem fiir Zentraleinheit, VI 


gultig ab 


1.1.1999 


Freigabe-Bedingung 





[0048] Das Software-Modul [SW-101-001] ist durch den 1. Datensatz fur die Ziel-Gerate-Typen [HW-1001-001] und 
45 [HW-1001-002] in Europa freigegeben. 
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2. Datensatz 



Da ten fold 


Inhalt 


Baureihe 


W212 


Region 


EUR 


Ziel-Gerate-Typen 


[HW-10 01-001] [HW-1001-002] 


Zulief erer 


XY 


Beschreibung Hardware 


Zent raleinheit fur Europa 


Art der Software 


APPL 


Software— Module 


[SW-111-001 ] 


Beschreibung Software 


Anwendung fur Zentraleinheit, VI 


giiltig ab 


1.3.1999 


Freigabe-Bedingung 




[0049] Das Software-Modul [SW-1 11-001] ist durch den 2. Datensatz fur die Ziel-Gerate-Typen [HW-1001-001] und 
[HW-1001-002] in Europa freigegeben. 

3. Datensatz 


Datenfeld 


Inhalt 


Baureihe 


W212 


Region 


USA 


Ziel-Gerate-Typen 


[HW- 1002-001] [HW-1002-002] 


Zulief erer 


XY 


Beschreibung Hardware 


Zentraleinheit fur USA 


Art der Software 


OS 


Software-Module 


[SW-102-001] 


Beschreibung Software 


Betriebssystem fur Zentraleinheit , VI 


giiltig ab 


1.4. 1999 


Freigabe-Bedingung 





[0050] Das Software-Modul [SW-102-001] ist durch den 3. Datensatz fur die Ziel-Gerate-Typen [HW-1002-001] und 
fHW-1002-002] in den USA freigegeben. 
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4. Datensatz 



Da ten f eld 


Inhalt 


Baureihe 


W212 


Region 


USA 


Ziel-Gerate-Typen 


[HW-1002-001] [HW-1002-002] 


Zulief erer 


XY 


Beschreibung Hardware 


Zentraleinheit fur USA 


Ar-i- der Software 


APPL _ - 




Software-Module 


[SW-112-001] 


Beschreibung Software 


Anwendunq fur Zentraleinheit, VI 


qultig ab 


1.4.1999 


Freigabe-Bedingung 


[HW-1102-00n] AND ( [HW-2102-001] OR 
[HW-2102-002] ) AND NOT [HW-2302-OOn] 
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35 



wenn 

- ein Ziel-Gerat vom Typ HW-1102 und einer der Varianten 001 bis 009 

- und ein Ziel-Gerat vom Typ HW-2102 und der V^teWloteOOZ , . oog ist 

- und kein Ziel-Gerat vom Typ HW-2302, das von einer der Varianten 001 bis 009 ist, 

40 eingebaut ist. Hierbei ist OOn eine abkiirzende Bezeichnung fur die Varianten 001 bis 009. 
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5. Datensatz 


Datenreld 


Innalt 


Baureihe 


W212 


Region 


t~» n n 

EUR 


Ziel-Gerat e-Typen 


[ HW- 2001-001J L HW— 2UUl~UUzJ 


Zulieferer 


AB 


Beschreibung Hardware 


Tiir-Steuergerat fur Europa 


Art der Software 


TOOL 


Software-Module 


[SW-221-001 J 


Beschreibung Software 


Diagnose fur Tiir-Steuergerat, VI 


giiltig ab 


1.5.1999 


Freigabe-Bedingung 


[HW-2002-001] OR [HW-2302-00n] 


[O052] Das Software-Modul [SW-221-001] ist durch den 5. Datensatz fur die Ziel-Gerate-Typen [HW-2001-001] und 
[HW-2001-002] in Europa freigegeben, falls die Freigabe-Bedingung erfullt ist. Die Freigabe-Bedingung ist erfullt, 
wenn an Bord 


- ein Ziel-Gerat vom Typ [HW-2002-001] 

- oder ein Ziel-Gerat vom Typ HW-2302, das von einer der Varianten 001 bis 009 ist, 


eingebaut ist. 


6. Datensatz 


Datenfeld 


Inhalt 


Baureihe 


W212 


Region 


USA 


Ziel-Gerate-Typen 


[HW-2002-001] [HW-2002-002] 


Zulieferer 


FG 


Beschreibung Hardware 


Tiir-Steuergerat fur USA 


Art der Software 


TOOL 


Software-Module 


[SW-222-001] 


Beschreibung Software 


Diagnose fur Tur-SteuergerSt, VI 


giiltig ab 


1. 6. 1999 


Freigabe-Bedingung 


[SW-221-001] 



[0053] Das Software-Modul [SW- 111-001] ist durch den 6. Datensatz fur die Ziel-Gerate-Typen [HW-1001-001] und 
[HW- 100 1-002] in den USA freigegeben, falls an Bord das Software-Modul [SW-221-001] aktiviert ist. 
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100541 Bei der Auswertung der Freigabe-Datei wird fur jedes Ziel-Gerat, das im Fahrzeug vorkonimt, die Freigabe-Da- 
SSSS^SZSL das Fahrzeug frtigegeben, die imDatenfeld ••Software-Module" des 

Welche der freigegebenen Software-Module tatsachlich ubertragen werden, hangt davon ab, welche Software- Module 

J^^^jS^Mbdul werden weiterhin Konfigurations- und Sicherheits-Informationen beispielsweise in 
zwei Datenbinken fur Software-Module und zwei flir Software-Modul-Teile erzeugt, in der Zentrale abgespeKhert und 
STS^SSS^i^ Die eine Datenbank is. die Konfigurations-Datenbank, die andere die S.cherhe.ts-Da- 

!oOS61 k ' T>ie Tnformarionen in der Konfigurations-Datenbank legen fest, welche Dateien z.urn Software-Modul gehoren, 

\au Hilf P Her Sicherheits-Informationen werden tjbertragungsfehler und Mampulauonen erkannt. 
weise folgende Datenfelder: 

- Software-Modul 

- Ziel-Adresse 

- GroBe 

- Speicherort 

- Prufverfahren 

- Prufsumme 

- Teile_Kennungen 

[0058] Das DatcnfcLd "Ziel-Adressc" gibt die Ziel-Adresse des Zicl-Gcrats auf dem Datcnbus im Fahrzeug an, z. B. 
#57 fur das Tur-Steuereerat und #20 fur die Zentraleinheit. . 
F00591 Das Datenfell "GroBe" gibt die GroBe des Software-Moduls in KByte an. Diese Angabe wird z.B to erne 
Sb^^^^n^a^^L FestgesteUt wird, wie viele KByte bereits ubertragen sind, und durch die 
AngaSn^ ist bekannt, wie viele KByte insgesamt zu ubertragen sind. Der Quotient gibt den 

fiSTS ^^£^^1^ Software-Modul in cer ^e abgespeicbert ist, beispiels- 
weiseinFonneinesPfadeseinesBetriebssystemsode^^^ 

[5£] DTDatenfeld "TfeileJCennungen" istnur dann ausgefullt, wenndas Software-Modul nicht auf eimnal, sondem 
'^T^^Z^r^ns^ flr das Software-Modul [SW-111-001] in der Konfigurations-Datenbank 
folgende Eintrage: 

7. Datensatz 



40 
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Datenfeld 


Inhalt 


Software-Modul 


rsw-m-ooi] 


Ziel-Adresse 


#20 


Grofte 


256 


Speicherort 


/XY/EUR/APPL/V1 


Priifverf ahren 


CRC 


Prufsumme 


4758A08C 


Teile Kennungen 





100631 Durch den 7. Datensatz wird festgelegt, daB die Ubertragung aes aonware-ivxuuu^ 

CRC UrSren gepruft wird. Durch die Priffiing wird festgesteUt, ob bei der Ubermitdung zum Fahrzeug und der Spe^- 

chXunt arSSahSeugs ein Ubertragungsfehler aufgetreten ist. Als Prufsumme wird ein 

BelS.^1 d"e Hexadezimalzahl 4758A08C, a1,gegeben. Das Software-Modul wird auf einmal ubertragen, daher ,st das 

fcSf tSK in mehreren Teilen Ubertragen wird, so werden jedem Software-Modul-Teil ein eige- 

loS' Fu^eTder tS^SSSSZ ^ e wXdeTKonfigurations-Datenbank fur Teile ein eigener Datensatz mit 
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folgenden Feldern angelegt: 

- Teile-Kennung 

- GroGe 

- Speicherort 

- Priifverfahren 

- Prufsumme 



[0066J Das Datenfeld "Speicherort" gibt an, wo dieser Software-Modul-Teil in der Zentrale abgespeichert ist. 
[0067] Ein Datensatz in der Sicherheits-Datenbank umfaBt folgende Datenfelder: 



LO 



- Software-Modul 

- Ziel-Gerate-Typ 

- Signatur 






8. Datensatz 


Da ten f eld 


Inhalt 


Software-Modul 


[SW-111-001] 


Ziel-Gerate-Typ 


[HW-1001-001] 


Signatur 


85A47D238 



15 



20 



25 



9. Datensatz 30 



Da ten f eld 


Inhalt 1 


Software-Modul 


[SW-111-001] 




Ziel-Gerate-Typ 


[HW-1001-002] 


Signatur 


9CA47D236 



[0068] Das Software-Modul [SW-111-001] ist in diesem Beispiel fur zwei Varianten von Ziel-Geraten freigegeben, 
namlich fur die Varianten 001 und 002 des TVps HW-1001 . Daher werden zwei verschiedene Signaturen erzeugt und in 45 
dem 8. und 9. Datensatz abgespeichert, namlich eine Signatur pro Variante des Ziel-Gerate-Typs. Die Signatur fur eine 
Variante wird vorzugsweise dadurch erzeugt, daB die Variante als Datenstrom behandelt wird und ein Hash- Wert erzeugt 
wird. Mit Hilfe eines geheimen Schliissels wird aus diesem Hash- Wert die Signatur erzeugt. Die Signatur hangt also vom 
Software-Modul und vom geheimen Schlussel ab. Fiir die Erzeugung der Signatur wird beispielsweise eine 1024-Bit- 
Verschliisselung nach dem Algorithmus von Rivest-Sharnir-Adleman (RS A-Verschliisselung) verwendet 50 
[0069] Die Erzeugung von Signaturen wird auf einem Rechner durchgefuhrt, der streng gegen unberechtigten Zugriff 
und gegen Manipulationen geschutzt wird, Beispielsweise betreibt der Zulieferer diesen Rechner und liefert die beiden 
Varianten und die beiden Signaturen an den Hersteller des Kraftfahrzeuges. Eine andere Ausfuhrungsform ist die, daB 
der Zulieferer lediglich die beiden Varianten an den Hersteller liefert und dieser selber die Signaturen erzeugt. Beispiels- 
weise ubermittelt der Hersteller die Signaturen an den Zulieferer, und dieser ubertragt die Software-Module auf seine 55 
Ziel-Gerate und verwendet dabei die Signatur fur eine Prufung. Eine dritte Ausfuhrungsform besteht daraus, daB ein zer- 
tifiziertes Trust Center die Signaturen erzeugt und die geheimen Schlussel verwaltet. 

[0070] In einem permanenten, nicht uberschreibbaren Speicher des Ziel-Gerats wird ein offentlicher Schlussel abge- 
speichert Der offentliche Schlussel kann ausgelesen werden, er ist aber sowohl vor versehentlichem als auch vorsatzli- 
chem Uberschreihen oder Verfalschen oder Tx^schen geschiitzL Vorzugsweise versieht der Zulieferer das Ziel-Gerat mit 60 
dem offentlichen Schlussel. Die Signatur wird nach dem Ubertragen und vor dem Aktivieren des Software-Moduls mit 
Hilfe des offentlichen Schliissels gepruft. Durch diese Prufung wird sichergestellt, daB das Software-Modul von einer 
vertrauenswurdigen Quelle kommt und nicht verfalscht oder manipuliert wurde. 

[0071] Als On-Board-Ubertragungsprotokoll wird beispielsweise das "Keyword Protocol 2000" (KWP2000) verwen- 
det, das durch ISO 14230-1 und ISO 15765-1 bis 15765-4 und VDA 14230-1 bis VDA 14230-3 standardisiert wird. Be- 65 
fehle werden in KWP2000 durch Hexadezimal-Zahlen codiert, z. B. der Befehl "ReadEDUIdentificauon" (Auslesen ei- 
ner Typ-Kennung fur ein Ziel-Gerat) durch $1A,86. Die mit einem Software-Modul ubertragenen Meta-Informationen 
umfassen die fur das Protokoll KWP2000 notuendigen Kommunikations-Parameter, die die fJbertragung an Bord vom 
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Pufferspeicher an ein Ziel-Gerat steuern, z. B. BlockgroBen, rimmg-Parameter, Ablaufinformationen und Adresse des 
Gerats auf dem Datenbus. Andere Ubertragungsprotokolle sind ebenfalls geeignet. Die Meta-Informauonen werden bei- 
spielsweise ebenfalls in Form einer Tabelle iibertragen. Diese Tabelle wird im Gegensatz zu der Tabelle fur die Freigabe- 
Prufung erst wahrend des Ubertxagungsvorganges generiert. . 
[0072] Nachdem festgestellt wird, daB die ausgewahlten und als freigegeben erkannten Software-Module fenlerrrei 
und unverfalscht iibertragen wurden, werden mindestens folgende Infonnationen an die Zentraie ubermittelt: 

- eine eindeutige Kennung des Fahrzeugs, 

- welche Software-Module fehlertirei und unverfalscht iibertragen wurden, 

- welches Gerat, z. B. welcher Diagnosetester, fur die Ubertragung verwendet wurde 

- und das Datum und der Zeitpunkt, zu dem die Ubertragung abgeschlossen wurde. 

[0073] Diese Informationen werden in der Zentraie, beispielsweise in einem Konfigurations-Management-Sy stem ab- 
gespeichert, und zwar bevorzugt in dem Datensatz fur das Fahrzeug. Dort wird weiterhin abgespeichert, wer die Uber- 
mittlung veranlaBt hat. 

Patentanspruc he 

1. Verfahren zum iibertragen von Software-Modulen von einer Zentraie zu einer mobilen Vorrichtung, 
insbesondere zu einem Verkehrs- oder Transportmittel, 

mit Hilfe einer Einrichtung zur drahtlosen Datenubertragung in beiden Richtungen, 
wobei eine Menge von Software-Modulen ausgewahlt wird, 
dadurch gekennzeichnet, 
daB 

- Informationen uber die aktuelle Konfiguration der mobilen Vorrichtung an die Zentraie ubermittelt werden, 
wobei diese Informationen eine Auflislung umfassen, welche Ziel-Gerate und welche Software-Module vor 
Bcginn der Ubertragung an Bord der mobilen Vorrichtung tatsachlich vorhanden sind, 

- gepriift wird, welche der ausgewahlten Software-Module fur die aktuelle Konfiguration freigegeben sind, 

- und die ausgewahlten und fur die aktuelle Konfiguration freigegebenen Software-Module iibertragen wer- 
den. 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daB 

- fur die Ziel-Gerate Gerate-Typ-Kennungen festgelegt werden, 

- fur die Software-Module Software-Typ-Kennungen festgelegt werden, 

- unter Verwendung der Gerate-Typ-Kennungen und Software-Typ-Kennungen festgelegt wird, welche der 
ausgewahlten Software-Module fur welche Typen von Ziel-Geraten freigegeben sind 

- und diese Freigabe-Festlegungen bei der Freigabe-Prufung verwendet werden. 

3 Verfahren nach Anspruch 1 oder Anspruch 2, dadurch gekennzeichnet, daB 

- Informationen iiber eine der Zentraie bekannten Konfiguration der mobilen Vorrichtung in einem Konfigu- 
rations-Management-System oder Dokumentations-System abgespeichert werden 

- eine Kennung der mobilen Vorrichtung zur Zentraie ubermittelt wird, 

- die an die Zentraie ubermittelten Informationen uber die aktuelle Konfiguration mit denen uber die abge- 
speicherten Konfiguration verglichen werden 

und mindestens eine nicht ubermittelte Information iiber die aktuelle Konfiguration durch Lesezugnff aut 
die abgespeicherte Konfiguration erganzt wird. „ 

4 Verfahren nach einem der Anspriiche 1 bis 3, dadurch gekennzeichnet, daB vor der Ubertragung der Software- 
Module gepriift wird, ob mit Hilfe der drahtlosen Datenubertragungseinrichtung ein Ubertragungskanal mil einer 
fur die Ubertragung ausreichenden Giite aufgebaut werden kann. 

5 Verfahren nach einem der Anspriiche 1 bis 4, dadurch gekennzeichnet, daB 

- Informationen iiber die Identitat der Slelle, die die Ubertragung der Software-Module anfordert, an die Zen- 
traie ubermittelt werden 

- und eine Berechtigungsprufung fur die anfordernde Stelle durchgefuhrt wird. 

6. Verfahren nach einem der Anspriiche 1 bis 5, dadurch gekennzeichnet, 

- fur mindestens ein Software-Modul mit Hilfe eines geheimen Schltissels eine Signatur erzeugt wird, 

- an Bord der mobilen Vorrichtung fur mindestens ein Ziel-Gerat ein offentlicher Schlussel abgespeichert 
wird 

- und die Signatur mit Hilfe des offentlichen Schliissels gepriift wird. 

7. Verfahren nach einem der Anspriiche 1 bis 6, dadurch gekennzeichnet, 

daB bei der Auswahl der Menge von Software-Modulen die aktuelle Konfiguration der mobilen Vorrichtung nut ei- 
ner Soll-Konfiguration verglichen wird 

und die Software-Module in Abhangigkeit von der Abweichung zwischen aktueller und Soll-Konfiguration ausge- 
wahlt werden. 

8. Verfahren nach einem der Anspriiche 1 bis 7, dadurch gekennzeichnet, 
daB gemeinsam mit den Software-Modulen Meta-Informationen iibertragen werden, 

die die Verteilung und/oder Ubertragung und/oder Aktivierung der Software-Module an Bord der mobilen Vorrich- 
tung steuern. 

9 Verfahren nach einem der Anspriiche 1 bis 8, dadurch gekennzeichnet, 

daB zusatzlich Informationen uber den aktuellen Betriebszustand der mobilen Vorrichtung an die Zentraie ubermit- 
telt werden 
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in Abhangigkeit von den Betriebszustands-Informationen enischieden wird, ob die mobile \orrichtung sich in ei- 
nem sicheren Zustand befindet 

und dann, wenn sie sich in einem sicheren Zustand befindet, die ubertragenen Software-Module aktiviert werden. 

10. Verfahren nach einem der Anspriiche 1 bis 9, dadurch gekennzeichnet, 

daB nach der Ubertragung mindestens eines der Software-Module die Information an die Zentrale ubermittelt wer- 
den, 

ob das Software-Modul tatsachlich fehlerfrei an die mobile Vorrichtung ubermittelt wurde. 

11. Verfahren nach Anspruch 10, dadurch gekennzeichnet, daB 

- eine Kennung der mobilen Vorrichtung zur Zentrale ubermittelt wird 

- und in einem Konfigurauons-Management- System die Information abgespeichert wird, 

welche Ziel-Cerate und welche Software-Module nach AbschluB der Ubertragung an Bord der mobilen \brrichtung 
tatsachlich vorhanden sind. 

12. Ubertragungs- Vorrichtung zur Durchfuhrung eines Verfahrens nach einem der Anspriiche 1 bis 11 , die 

- eine Einrichtung zur drahdosen Datenubertragung zwischen Zentrale und mobiler Vorrichtung in beiden 
Richtungen 

- und eine Steuerungs-Einrichtung, die die Ubermittlung von Software-Modulen von der Zentrale zur mobi- 
len Vorrichtung veraniaBt und steuert, 

umfaBt, 

dadurch gekennzeichnet, 

daB die Steuerungs-Einrichtung 

eine Einrichtung zur Ermittlung der aktuellen Konfiguration der mobilen Vorrichtung, 
eine Einrichtung zur Auswahl der Menge von Software-Modulen 

eine Einrichtung zur Priifung, welche der ausgewahlten Software-Module fur die aktuelle Konfiguration freigege- 
ben sind, 

eine Einrichtung zur Veranlassung der Ubertragung der ausgewahlten und freigegebenen Software-Module 

und eine Einrichtung zur Ermitllung, welche Sofl ware-Module fehlerfrei an die mobile Vorrichtung ubertragen wur- 

dcn, 

umfaBt. 
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